Beispiele für Richtlinien zur Ressourcenkontrolle - AWS Organizations
GitHub Repository

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Richtlinien zur Ressourcenkontrolle

Die in diesem Thema angezeigten Beispiele für Ressourcenkontrollrichtlinien (RCPs) dienen nur zu Informationszwecken.

Hinweise zur Verwendung dieser Beispiele

Bevor Sie dieses Beispiel RCPs in Ihrer Organisation verwenden, sollten Sie Folgendes berücksichtigen:

  • Richtlinien zur Ressourcenkontrolle (RCPs) sind als grobkörnige präventive Kontrollen gedacht und gewähren keinen Zugriff. Sie müssen den IAM-Prinzipalen oder Ressourcen in Ihren Konten dennoch identitäts- oder ressourcenbasierte Richtlinien zuordnen, um tatsächlich Berechtigungen zu gewähren. Die effektiven Berechtigungen stellen die logische Schnittstelle zwischen der SCP/RCP und einer Identitätsrichtlinie oder der und einer Ressourcenrichtlinie dar. SCP/RCP Weitere Informationen zu den Auswirkungen von RCP auf Berechtigungen finden Sie hier.

  • Die Ressourcensteuerungsrichtlinien in diesem Repository werden als Beispiele gezeigt. Sie sollten nichts anhängen, RCPs ohne die Auswirkungen der Richtlinie auf die Ressourcen in Ihren Konten gründlich getestet zu haben. Sobald Sie eine Richtlinie erstellt haben, die Sie implementieren möchten, empfehlen wir, sie in einer separaten Organisation oder Organisationseinheit zu testen, die Ihrer Produktionsumgebung entsprechen kann. Nach dem Testen sollten Sie die Änderungen zu Testzwecken bereitstellen OUs und die Änderungen dann im OUs Laufe der Zeit schrittweise für eine breitere Palette von Benutzern bereitstellen.

  • Die RCPFullAWSAccessRichtlinie wird automatisch an den Organisationsstamm, jede Organisationseinheit und jedes Konto in Ihrer Organisation angehängt, wenn Sie Ressourcenkontrollrichtlinien aktivieren (RCPs). Dieses Standard-RCP ermöglicht es allen Prinzipalen und Aktionen, auf die zugegriffen werden kann, die RCP-Bewertung zu durchlaufen. Sie können Deny-Anweisungen verwenden, um den Zugriff auf Ressourcen in Ihrer Organisation einzuschränken. Sie müssen Ihren Prinzipalen auch weiterhin die entsprechenden Berechtigungen gewähren, indem Sie identitäts- oder ressourcenbasierte Richtlinien verwenden.

  • Eine Resource Control Policy (RCP) bietet, wenn sie einem Organisationsstamm, einer Organisationseinheit oder einem Konto zugeordnet ist, eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation, Organisationseinheit oder einem Konto. Da eine RCP auf mehreren Ebenen in einer Organisation angewendet werden kann, kann es Ihnen helfen, zu wissen, wie diese bewertet RCPs werden RCPs , die zu erwartenden Ergebnisse führen.

Die Beispielrichtlinien in diesem Abschnitt veranschaulichen die Implementierung und Verwendung von RCPs. Sie sind nicht als offizielle Empfehlungen von AWS oder bewährte Methoden zu interpretieren, die genau wie gezeigt umgesetzt werden müssen. Es liegt in Ihrer Verantwortung, alle Richtlinien sorgfältig auf ihre Eignung zur Erfüllung der Geschäftsanforderungen Ihrer Umgebung zu testen. Deny-Based Resource Control-Richtlinien können Ihre Nutzung von AWS Diensten unbeabsichtigt einschränken oder blockieren, es sei denn, Sie fügen der Richtlinie die erforderlichen Ausnahmen hinzu.

Tipp

Vor der Implementierung RCPs kann neben der Überprüfung der AWS CloudTrail Protokolle auch die Bewertung der Ergebnisse des externen Zugriffs von IAM Access Analyzer dazu beitragen, herauszufinden, welche Ressourcen derzeit öffentlich sind oder extern gemeinsam genutzt werden.

GitHub Repository